本机终端用u盘登陆系统,基于非对称密钥

archangle

上午发在高级应用版的,转到安全版本比较合适

首先你的对pam有所了解,然后是对linux登陆流程有所了解.
linux登陆流程简单说来可以这样理解.

假如你按下alt+F2, 那么gettty就得到这个信息.(getty的起动是由/etc/inittab控制的).getty随后调用login进程,login进程要求输入用户名和密码.并且把密码和用户名提交给pam系统验证(pam对login程序的验证步骤或者说方法可以由/etc/pam.d/login来设置).
pam系统把验证结果返回给login进程.然后login进程就会起动该用户的shell.比如bash.

关键就是在pam这一步,要怎么验证这都是你自己可以控制的,我的作法是用一个pamusb模块来替换口令模块.当然也可以配合使用.

pamusb的验证机制是用公钥密钥体系来完成的,简单说来就是在机器上放入公钥,u盘里放入密钥,密钥可以被加密.


现在登陆的流程是,假如你没有给密钥设置密码,那么登陆的时候,插入u盘,然后输入用户名就可以直接登陆了.如果密钥有密码的话,就要输入密码.

就这么简单.
有兴趣的朋友可以参考www.pamusb.org上的资料自己去搞.
我自己的系统我只测试了login和xdm,可以正常使用.

authen

提几个问题阿：
1. 如果仅仅是linux认证，CLI login登录和X登录的agent应该是不同的，你这个pamusb是for 哪个的？
2. 有否authentication server? 抑或是单机版？
3. USB中是不是存放着证书？ 如果把证书导入其他存储介质应该也是可以的吧。

archangle

1.pamusb是for pam的,login和xdm会去调用这个模块
2.单机版,公钥在用户家目录的.auth目录下
3.是的,u盘存放密钥.把证书放到硬盘或者软盘上也可以,只不过在pam的配置里面指定具体设备就可以了.

如果能作到物理机器的安全,那么这个对登录的安全性有所提高.

西门飞

密钥存放在u盘

写 密钥 的时候.顺便把U盘的硬件号写上.
只认这一个.
岂不更安全.

authen

如果是USB移动硬盘，程序认哪个分区？

archangle

写 密钥 的时候.顺便把U盘的硬件号写上.
只认这一个.
岂不更安全.

不知道这个参数是不是,我还没仔细研究这个模块.只是实现了最主要的功能.
snfile            string         the serial number file contains the allowed SN. If it doesn't exists, the default behaviour is to grant everything.

如果是USB移动硬盘，程序认哪个分区？

我想你直接指定到分区就可以了,比如/dev/sdc1
这个需要测试.

archangle

另外我在研究Device-mapper.其中一个encryption target (dm-crypt).利用这个东西,我可以把u盘从地层加密,就算u盘丢失,里面的密钥别人也不能得到.

authen

[quote]原帖由 "archangle"]另外我在研究Device-mapper.其中一个encryption target (dm-crypt).利用这个东西,我可以把u盘从地层加密,就算u盘丢失,里面的密钥别人也不能得到.[/quote 发表：

那么U盘可以克隆吧。

archangle

那么U盘可以克隆吧。

这点到是没有考虑到,我要做的就是里面的东西不能被读取.另外不知道u盘的sn是不是唯一的,而且不可更改,如果是那样的话就好办了.